Nello svolgimento della consulenza sul risk management, nell’analisi di rischio, si assiste spesso a un lungo e scrupoloso lavoro di messa a punto della lista delle minacce e delle vulnerabilità. Anche la lista degli asset sembra riscuotere grande interesse fino a che non sia ritenuta completa. Inoltre, a volte sembra che il lavoro del risk manager termini con la preparazione del report di rischio. Invece, il ciclo si deve chiudere con le decisioni prese dal management sullo stato di avanzamento delle attività di contrasto al rischio, e poi queste diventano l’input per avviare un nuovo ciclo. In quanto al risk manager, è sempre presente in tutte le fasi, senza dare preferenza a una o all’altra, a volte come responsabile delle attività, altre volte come consulente o anche controllore della corretta attuazione di ogni fase.
Indice degli argomenti
Analisi del rischio, a cosa serve la valutazione
Il fine della valutazione del rischio è di comunicare risultati attendibili a chi ha l’autorità di prendere le decisioni e assicurarsi che questi risultati siano compresi. Il come si raggiunge questo fine, è definito dalle diverse metodologie di gestione del rischio, che però concordano tutte sulla ciclicità del processo e sulla presenza di alcune specifiche fasi. In modo macroscopico sono, l’identificazione dei rischi, la loro valutazione, il trattamento, il monitoraggio dei controlli e la comunicazione, formale o meno, ai vertici e a tutti quelli che hanno un interesse in merito.
Un modo di procedere, che volesse dedicare subito una grande attenzione alla stesura di liste di minacce, di vulnerabilità e degli asset, per quanto vadano comunque determinate, non trova giustificazione nella teoria del risk management. Innanzitutto, è un processo ciclico e per il fatto che è ciclico significa che verrà nuovamente rivisto dopo un certo lasso di tempo. Sappiamo dalle metodologie, con un esempio per tutte la ISO 31000:2018, che andremo a rivedere le liste raffrontandole con ogni nuova informazione prodotta dalle fasi del ciclo di vita del rischio. Allora, un tempo rilevante dedicato alla ricerca di una presunta completezza di queste liste iniziali, potrebbe non avere un beneficio reale, in quanto esiste il periodico perfezionamento delle liste stesse. Vediamo come.
Identificazione del rischio, come si fa
Consideriamo la fase di identificazione del rischio che sottintende alla preparazione dello scenario del rischio, e quindi di una descrizione complessiva dei fattori che concorrono a formare l’evento di rischio, includendo tutti gli elementi delle già citate liste. Qui, andiamo a determinare quali sono le minacce e le vulnerabilità riscontrabili negli asset o nei controlli attivati a protezione degli stessi asset ed in quale relazione stanno tra loro. Questa fase agisce come vista d’insieme per lo scenario di rischio, il cui dettaglio ha almeno due ulteriori occasioni per essere perfezionato senza richiedere proprio in questa fase un impegno eccessivo. I ragionamenti che facciamo per identificare minacce e vulnerabilità sono inclusi anche nella fase di analisi del rischio e in quella di pianificazione del trattamento del rischio.
Nell’analisi del rischio, per ogni evento di rischio, dobbiamo valutarne la probabilità di accadimento e valorizzare l’ampiezza delle conseguenze. Queste sono anche occasioni per approfondire lo scenario dell’evento di rischio. Attorno all’evento consideriamo gli asset che sono coinvolti, e rispetto agli obiettivi del business, anche le loro criticità, integrando le informazioni raccolte nello scenario con quanto emerge dalle analisi. La probabilità richiede uno sforzo di valutazione comparando tra loro informazioni di vulnerabilità dei controlli e di esposizione dell’asset alle minacce. Anche in questo caso, possono emergere nuovi fattori di rischio da utilizzare a integrazione dello scenario. L’impatto è valutato secondo ogni prospettiva legata agli obiettivi di business ed al contesto descritto nello scenario. Ogni nuovo elemento che fosse individuato concorre anch’esso ad arricchire lo scenario. Se gli elementi individuati fossero particolarmente significativi, allora potrebbe essere necessario generare un nuovo addizionale evento di rischio.
La pianificazione del trattamento del rischio
Nella fase di pianificazione del trattamento del rischio, il processo di individuazione di nuovi controlli per mitigare il rischio stesso introduce inevitabilmente nuove vulnerabilità. Ogni nuovo controllo e ogni modifica a controlli esistenti porta una variazione al nostro sistema di protezione, e questo si traduce in nuove potenziali vulnerabilità che devono essere valutate. Il piano di trattamento del rischio è pertanto un’altra fonte di vulnerabilità da considerare. Dalle nuove vulnerabilità possono essere identificate anche nuove minacce in grado di sfruttarle, andando quindi ad incrementare pure la lista delle potenziali minacce.
Questo dimostra ulteriormente che il tempo dedicato a cercare di comporre lo scenario di rischio, non deve essere spinto verso l’eccessivo dettaglio fin dall’inizio, perché emergeranno nel seguito del ciclo di vita del rischio nuove situazioni che sapranno compensare il minor dettaglio incluso nella fase di identificazione del rischio e permetteranno un processo più Agile. La maggior velocità di esecuzione non avviene assolutamente con una perdita di valore ma piuttosto rappresenta un modo più efficiente per svolgere il processo di gestione del rischio.
Gli asset, come identificarli nell’analisi di rischio
Una considerazione a sé meritano gli asset. Essendo legati agli obiettivi dell’azienda non richiedono quasi mai uno sforzo eccessivo alla loro identificazione. Si parte sempre da pochi elementi di alto livello, considerati rilevanti ai fini del raggiungimento degli obiettivi, che vanno inclusi nell’inventario assieme ai parametri di criticità per il business e di attribuzione della responsabilità di gestione. Poi, durante la valutazione dell’evento di rischio, solamente se serve per meglio definirlo, si procede con una suddivisione in componenti specifici. In seguito, nell’eventualità che non permanga più il motivo della suddivisione, si riaggregano i componenti in asset più generali e significativi, per mantenere contenuto il numero complessivo. Una chiara rilevanza dell’asset aiuta la comprensione dell’incertezza che si forma sugli obiettivi di business dov’è coinvolto, molto di più che considerare i suoi singoli componenti singolarmente.
Il tempo che così risparmiamo sulla preparazione dello scenario può essere meglio impiegato per verificare lo stato di avanzamento dei controlli di mitigazione e per migliorare la qualità della presentazione dei risultati di valutazione del rischio. L’obiettivo del risk manager è assicurarsi che i vertici aziendali abbiamo piena comprensione dello stato complessivo del rischio. Solo così sarà possibile arrivare a prendere delle decisioni consapevoli, o risk based come frequentemente è sintetizzato. Particolare attenzione va posta alla preparazione della presentazione dei risultati. Si inizia con un processo di aggregazione dei rischi affinché siano ben allineati agli obiettivi, e di conseguenza dando un’importanza facilmente riconoscibile dal management. Poi si escludono tutti quelli di bassa rilevanza, concentrandosi solo su quelli di diretta ripercussione sul business.
Conclusioni
È compito del risk manager prioritizzare i rischi mantenendo la focalizzazione su quelli con impatto significativo. In altre parole, non è un problema di colori da inserire nelle chart ma di conoscenza delle priorità dell’azienda, sulle quali riflettere i rischi più rilevanti. Piuttosto che dare maggior enfasi alla minaccia è necessario dare più spazio alle soluzioni possibili o alle alternative bilanciate tra benefici e costi. La forza delle metodologie di rischio sta nella loro ciclicità, giustificata dai miglioramenti continui che si raggiungono in ogni singola fase.
Per questo, dedicare troppo tempo a una singola fase, che viene comunque perfezionata in seguito, potrebbe far deprimere la sintesi complessiva necessaria a una efficace comunicazione per prendere le conseguenti decisioni.
In conclusione, affrontare con Agilità il processo di valutazione del rischio, dell’analisi di rischio, significa evitare di dedicarsi completamente ad un singolo lavoro fintantoché non sarà ritenuto esaustivo, a scapito di altre fasi che potrebbero rischiare di non essere trattate con adeguata attenzione per mancanza di tempo. Bilanciare in modo equo il tempo tra le fasi, considerando che sono comunque legate tra loro, permette di giungere più velocemente a un risultato più efficace.
@RIPRODUZIONE RISERVATA
